Foto: mapoli-photo/fotolia.de

 

Bernhard Orlik, Geschäftsführer, Haubrok Corporate Events

Während der letztjährigen Hauptversammlungssaison rief bei der Aktionärshotline ein erboster Aktionär an. Er erklärte, die ihm (von einer Bank) übersandte Eintrittskarte zur Hauptversammlung der XY AG sei im Briefumschlag so verrutscht, dass folgender Text zu lesen war „Eintrittskarte zur Hauptversammlung der XY AG“. Somit wüssten alle seine Nachbarn nun, dass er Aktionär der XY AG ist. Seiner Ansicht nach wurde dadurch der Datenschutz verletzt und er prüfe nunmehr, ob er Schadensersatzansprüche geltend machen könne. Es stellte sich zum Ende des Telefonats die Frage: Hat der Aktionär recht, dass im Rahmen der Hauptversammlung der Datenschutz eine Rolle spielt? Kann er aussichtsreich drohen, Schadensersatzansprüche geltend zu machen?

Personenbezogene Daten

Damit die Vorschriften des Datenschutzes greifen, müssten personenbezogene Daten verarbeitet werden. Das Bundesdatenschutzgesetz (BdSG) definiert in § 3 Abs. 1 personenbezogene Daten als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“.

Unter diese Definition ließen sich ganz sicherlich

  • die Anschrift des Aktionärs,
  • die von ihm gehaltene Anzahl an Aktien,
  • die Bankverbindung und die Art des Depots (Einzel- oder Gemeinschaftsdepot) des Aktionärs und
  • ggf. der Name und die Anschrift eines bevollmächtigten Vertreters des Aktionärs in der Hauptversammlung

subsumieren.

Es lässt sich erst einmal festhalten, dass der erboste Aktionär an der Aktionärshotline nicht falsch lag und der Datenschutz sicherlich bei der Abwicklung der Hauptversammlung zu beachten ist.

Welche Bereiche der Hauptversammlungsdurchführung sind nun insbesondere betroffen? Zunächst ist dies ganz sicherlich die Meldedatenverarbeitung. Hier werden personenbezogene Daten des Aktionärs erfasst, bearbeitet und übermittelt. Anschrift und Anzahl der Aktien des Aktionärs bilden die Basis der Meldedaten zu jeder Hauptversammlung. Bei Namensaktiengesellschaften ist auch der Versand der Mitteilungen gemäß § 125 AktG (Hauptversammlungseinladung) an alle im Aktienregister eingetragenen Aktionäre zu erwähnen.

Vollmachten und Briefwahlunterlagen

Ein weiterer Bereich ist die Übermittlung, Erfassung und Verarbeitung von Vollmachten/Weisungen an den Stimmrechtsvertreter bzw. Briefwahlunterlagen im Vorfeld der Hauptversammlung. Hier werden u.a. auch der Name und die Anschrift eines Vertreters sowie das Abstimmverhalten eines Aktionärs offengelegt. Aber auch auf den meisten Stimmkarten/-blöcken finden sich der Name und die vertretene Anzahl der Aktien.

Für den Fall, dass personenbezogene Daten erhoben, verarbeitet oder genutzt werden, bestimmt das BdSG in § 9, dass „technische und organisatorische Maßnahmen“ zu treffen sind, die die Einhaltung des Datenschutzes gewährleisten.

Technische und organisatorische Maßnahmen

Wie sind diese geforderten „technischen und organisatorischen Maßnahmen“ auszugestalten? Hier hilft die Anlage des BdSG zu § 9 weiter und nennt nachstehend aufgeführte Bereiche:

Zutrittskontrolle

Z.B. durch Ausweiskontrollen bzw. intelligente Schließsysteme, die nur Berechtigten den Zugang zu Bürobereichen erlauben, in welchen personenbezogene Daten verarbeitet werden.

Zugangskontrolle

Die Nutzung der EDV-Anlage muss kontrolliert und protokolliert werden, um die Nutzung durch Unbefugte zu verhindern. Dies kann durch (elektronische) Logbücher und Zugangskontrollen erreicht werden.

Zugriffskontrolle

Es muss gewährleistet sein, dass Berechtigte nur auf die für sie freigeschalteten personenbezogenen Daten zugreifen können. Üblicherweise geschieht dies durch ein von der UserID abhängiges Berechtigungssystem.

Weitergabekontrolle

Personenbezogene Daten müssen bei elektronischer Übermittlung, Speicherung oder Transport vor unerlaubtem Zugriff geschützt werden. Z.B. sollte die elektronische Übermittlung von Vollmachten und Weisungen über das Internet nur verschlüsselt erfolgen.

Eingabekontrolle

Es muss im Nachhinein überprüft werden können, wer die personenbezogenen Daten bearbeitet hat. Dies kann durch eine Logdatei gewährleistet werden, die festhält, wer Eingaben, Änderungen oder Löschungen der sensiblen Daten vorgenommen hat.

Verfügbarkeitskontrolle

Personenbezogene Daten sind gegen zufällige Zerstörung oder Verlust zu schützen. Regelmäßige Datensicherungen, Virenschutzprogramme und die Installation einer aktuellen Firewall unterstützen diese Anforderung.

Trennungskontrolle

Zu unterschiedlichen Zwecken erhobene Daten werden getrennt verarbeitet – ein gegenseitiger Zugriff ist auszuschließen. In der Hauptversammlungspraxis sollten z.B. die elektronischen Vollmachts- und Weisungssysteme unterschiedlicher Hauptversammlungen beim Provider getrennt auf zwei verschiedenen Servern vorgehalten werden.

Auftragskontrolle

Die personenbezogenen Daten, die bei beauftragten Dritten, wie bspw. bei der Anmeldestelle oder beim Hauptversammlungsdienstleister, verarbeitet werden, können streng nur nach Weisung des Auftraggebers, also der Gesellschaft verarbeitet werden. Um diese Weisungskontrolle sicherzustellen, muss die Gesellschaft mit dem (den) beauftragten Dienstleister(n) wie z.B. der Anmeldestelle und/oder dem Hauptversammlungsdienstleister eine Auftragsdefinition vornehmen. Dies kann aus einer datenschutzrechtlichen Anlage zum Hauptvertrag oder aus einem Sideletter bestehen. In jedem Fall sollten die folgenden fünf Bestandteile in der schriftlichen Auftragsbeschreibung festgehalten werden:

  • Dauer des Auftrags,
  • Nennung aller beauftragten Tätigkeiten mit Prozessbeschreibung,
  • Datenmodell oder Datensatzbeschreibung,
  • Verarbeitungszwecke der personenbezogenen Aktionärsdaten sowie
  • Ansprechpartner auf Seiten der Gesellschaft und des beauftragten Dienstleisters.

Die datenschutzrechtliche Auftragskontrolle sollte die Gesellschaft keinesfalls unterschätzen. In § 11 Abs. 1 BdSG wird die Verantwortung für die Einhaltung des Datenschutzes nämlich ausdrücklich der Gesellschaft als Auftraggeber zugewiesen.

Im Kontext der datenschutzrechtlichen Verantwortung der Gesellschaft ist auch die Forderung des § 11 Abs. 2 BdSG zu sehen, wonach die Gesellschaft bei der Auswahl der Dienstleister insbesondere die Eignung der von diesen getroffenen technischen und organisatorischen Maßnahmen zu berücksichtigen habe.

1
2